4 min de lecture
Project Glasswing : 10 000 failles découvertes en 30 jours, la sécurité change de paradigme
Le premier bilan de Project Glasswing est sans précédent : 10 000 vulnérabilités critiques en 30 jours, dont un bug vieux de 27 ans dans OpenBSD. Le goulot d'étranglement n'est plus la détection.
Project Glasswing : 10 000 failles découvertes en 30 jours, la sécurité change de paradigme
Le 22 mai 2026, Anthropic a publié sa première mise à jour sur Project Glasswing. En trente jours d'opération, le modèle Claude Mythos Preview et une cinquantaine d'organisations partenaires ont identifié plus de 10 000 vulnérabilités de sévérité haute ou critique dans des logiciels critiques utilisés par des millions de personnes. Le constat est vertigineux, et il déplace le problème central de toute l'industrie de la sécurité.
Les chiffres bruts et ce qu'ils révèlent
Sur les 10 000 signalements initiaux, 6 202 ont été classés haute ou critique sévérité sur plus de 1 000 projets open source. Une analyse experte a ensuite confirmé 1 726 vrais positifs, dont 1 094 en haute ou critique sévérité. Ces taux de validation sont inhabituellement élevés pour un processus automatisé à cette échelle.
Deux découvertes dominent le bilan par leur ancienneté. Un bug de crash à distance dans OpenBSD existait depuis 27 ans. Or OpenBSD est précisément l'un des systèmes d'exploitation construits autour de la sécurité comme valeur fondatrice, avec un historique de deux failles à distance en vingt ans. La découverte d'une vulnérabilité de cette nature sur ce système souligne que le modèle Mythos ne reproduit pas seulement ce que les auditeurs humains font : il explore des surfaces qu'ils n'avaient pas atteintes. L'autre découverte concerne FFmpeg, la bibliothèque de traitement audio-vidéo présente dans YouTube, Netflix, VLC, Chrome et des milliers d'autres applications. Une faille y dormait depuis 16 ans.
Du côté des infrastructures critiques, Glasswing a identifié CVE-2026-5194, une vulnérabilité dans WolfSSL cotée CVSS 9.1. WolfSSL est la bibliothèque TLS embarquée dans les systèmes automobiles, les contrôleurs industriels et les objets connectés. Une note de 9.1 dans ce contexte représente exactement le type de cible que les acteurs étatiques cherchent à exploiter.
Les résultats partenaires : Cloudflare et Mozilla
Deux divulgations partenaires donnent une mesure concrète des capacités déployées. Cloudflare, dont la raison d'être est la sécurité d'infrastructure, a trouvé 2 000 bugs dans ses systèmes via Glasswing, dont 400 de sévérité haute ou critique. Mozilla a, de son côté, corrigé 271 vulnérabilités dans Firefox, soit un taux dix fois supérieur à ce qu'un modèle Claude précédent avait permis d'atteindre.
IBM a rejoint le consortium le 19 mai 2026, en apportant IBM Concert, sa plateforme de gestion des vulnérabilités, dans le pipeline de traitement des signalements. Le groupe opère dans 175 pays et gère des systèmes financiers, de santé et gouvernementaux parmi les plus sensibles au monde. Le consortium compte désormais une cinquantaine d'organisations, dont AWS, Apple, Google, Microsoft, Cisco et JPMorgan Chase.
Pour replacer ces résultats dans le contexte du lancement initial, le projet Glasswing avait été annoncé le 7 avril 2026 avec douze partenaires fondateurs et l'objectif explicite d'utiliser Mythos Preview pour une sécurité défensive. Ce premier bilan valide la prémisse et dépasse les attentes quantitatives initiales.
Le goulot d'étranglement a changé de côté
C'est le vrai enseignement de ce premier mois. Pendant des décennies, trouver les failles était le problème difficile. Glasswing démontre qu'un modèle frontier peut maintenant les identifier à un rythme qui dépasse la capacité humaine à vérifier, divulguer et corriger.
Anthropic applique une politique de divulgation coordonnée sur 90 jours : les détails des failles restent confidentiels pendant la période de remédiation. Cela crée une nouvelle contrainte : l'industrie génère plus de rapports valides qu'elle n'a de bande passante pour les traiter. Les équipes de sécurité, les mainteneurs de projets open source et les éditeurs devront adapter leurs processus à un flux de signalements structurellement plus dense.
Ce déplacement du goulot d'étranglement, de la détection vers la remédiation, est la transformation structurelle que Glasswing impose à toute l'industrie, plus encore que les 10 000 failles elles-mêmes.
Ce que ça signifie pour vous
Pour les développeurs qui maintiennent des dépendances open source, la pression de remédiation va augmenter de façon significative au cours des prochains mois, à mesure que les partenaires Glasswing divulguent leurs trouvailles sous la politique des 90 jours. Les projets utilisant OpenBSD, FFmpeg ou WolfSSL dans leur chaîne de dépendance devraient anticiper des mises à jour de sécurité imminentes. Pour les équipes sécurité en entreprise, l'intégration d'un outil de scanning Mythos-niveau dans les pipelines CI devient moins une question de "si" que de "quand". Les résultats de Cloudflare et Mozilla ont fourni les données de benchmarking que les RSSI attendaient pour justifier la transition.
Sources : Anthropic Project Glasswing update · The Hacker News · Help Net Security · IBM Newsroom